病毒病论坛

首页 » 常识 » 常识 » 温馨提示干货勒索病毒应急响应自救手册
TUhjnbcbe - 2024/11/5 9:23:00
治疗白癜风著名的医院 https://jbk.39.net/yiyuanfengcai/tsyl_bjzkbdfyy

可能会执行计划任务

九、Paradise勒索

Paradise勒索最早出现在年7月下旬,最初版本会附加一个超长后缀如:(_V.0.0.0.1{yourencrypter

protonmail.ch}.dp)到原文件名末尾,在每个包含加密文件的文件夹都会生成一个勒索信如下:

而后续活跃及变种版本,采用了Crysis/Dharma勒索信样式图弹窗如:勒索信如下样式加密文件后缀:文件名_%ID字符串%_{勒索邮箱}.特定后缀

特征:将勒索弹窗和自身释放到Startup启动目录

第二章如何判断病情

如何判断服务器中了勒索病毒呢?勒索病毒区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的收益极高,所以大家才称之为“勒索病毒”。

勒索病毒的主要目的既然是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。

一、业务系统无法访问

年以来,勒索病毒的攻击不再局限于加密核心业务文件;转而对企业的服务器和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营;甚至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因,一旦遭到勒索攻击的直接后果就是生产线停产。

比如:年2月,医院遭遇勒索病毒,全院所有的医疗系统均无法正常使用,正常就医秩序受到严重影响;同年8月,台积电在台湾北、中、南三处重要生产基地,均因勒索病毒入侵导致生产停摆。

但是,当业务系统出现无法访问、生产线停产等现象时,并不能%确定是服务器感染了勒索病毒,也有可能是遭到DDoS攻击或是中了其他病毒等原因所致,所以,还需要结合以下特征来判断。

二、电脑桌面被篡改

服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式,通常提示信息英文较多,中文提示信息较少。

下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。

三、文件后缀被篡改

服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改。一般来说,文件后缀名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等;Satan家族的后缀.satan、sicck;Crysis家族的后缀有.ARROW、.arena等。

下面为电脑感染勒索病毒后,几种典型的文件后缀名被篡改或文件图标变为不可打开的示意图。

当我们看到上述三个现象的时候,说明服务器已经遭到勒索病毒的攻击,此时,如果我们仓促的进行不正确的处置,反而可能会进一步扩大自己的损失。

所以,请保持冷静不要惊慌失措,现在我们需要做的是如何最大化的减少损失,并阻止黑客继续去攻击其他服务器。具体操作步骤请见下一章。

第三章如何进行自救

当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。例如:与被感染主机相连的其他服务器也存在漏洞或是有缺陷,将有可能也被感染。所以,采取自救措施的目的是为了及时止损,将损失降到最低。

一、正确处置方法

(一)隔离中招主机

处置方法

当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

1)物理隔离

物理隔离常用的操作方法是断网和关机。

断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。

2)访问控制

访问控制常用的操作方法是加策略和修改登录密码。

加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭、、等不必要的端口。

修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。

处置原理

隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。

有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。

另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。

当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。

(二)排查业务系统

处置方法

在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。

处置原理

业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。

另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。

所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。

(三)联系专业人员

在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。

个人中招用户可以:通过安全卫士的反勒索服务,联系专业人士。用户在进入“安全卫士”-“反勒索服务”选项后,需要同时开启文档保护和反勒索服务。开启这两项服务后,若您被感染勒索病毒,点击“申请服务”按钮即可申请理赔。

政企机构中招客户可以联系:企业安全集团,全国应急转2转4。

二、错误处置方法

(一)使用移动存储设备

错误操作

当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。

错误原理

勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。

所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。

(二)读写中招主机上的磁盘文件

错误操作

当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。

错误原理

很多流行勒索病毒的基本加密过程为:

1)首先,将保存在磁盘上的文件读取到内存中;

2)其次,在内存中对文件进行加密;

3)最后,将修改后的文件重新写到磁盘中,并将原始文件删除。

也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。

而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。

第四章如何恢复系统

感染勒索病毒后,对于政企机构来说,最重要的就是怎么恢复被加密的文件了。一般来说,可以通过历史备份、解密工具或支付赎金来恢复被感染的系统。但是这三种操作都有一定的难度,因此,建议受害者不要自行操作。如果您想恢复系统,请联系专业的技术人员或安全厂商,确保赎金的支付和解密过程正确进行,避免其他不必要的损失。

政企机构中招客户可以联系:企业安全集团,全国应急转2转4。

一、历史备份还原

如果事前已经对文件进行了备份,那么我们将不会再担忧和烦恼。可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,应确保系统中的病毒已被清除,已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。

事先进行备份,既是最有效也是成本最低的恢复文件的方式。

二、解密工具恢复

绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这种加密方式的特点是,只要加密密钥足够长,普通电脑可能需要数十万年才能够破解,破解成本是极高的。通常情况,如果不支付赎金是无法解密恢复文件的。

但是,对于以下三种情况,可以通过提供的解密工具恢复感染文件。

1)勒索病毒的设计编码存在漏洞或并未正确实现加密算法

2)勒索病毒的制造者主动发布了密钥或主密钥。

3)执法机构查获带有密钥的服务器,并进行了分享。

可以通过网站(

1
查看完整版本: 温馨提示干货勒索病毒应急响应自救手册